株式会社NTTデータは、2022年のサイバーセキュリティの動向について解説を行った。大きなトピックは3つ。大型イベントに乗じた偽中継サイト、北朝鮮が関連したサイバー攻撃に対するパブリックアトリビューション(サイバー攻撃の攻撃元の国名を名指しして、その手口を公表し非難すること)、そして、ロシアによるウクライナ侵攻に伴って増加したサイバー攻撃だ。
イベントや軍事侵攻と、非日常的なトピックが目立つが、全体を総括してNTTデータの新井悠氏(サイバーセキュリティ技術部情報セキュリティ推進室)は、平時の対策の重要性を指摘。「2月から始まったロシアによるウクライナ侵攻では、通常兵器以外にサイバー攻撃も行うハイブリッド戦の実態が明らかになりつつある。このサイバー攻撃は、平時の間に準備が行われているため、そうした兆候などを特定、阻止していくことが重要である」と、警鐘を鳴らしている。
ワールドカップでも個人情報窃取を狙う偽中継サイトが確認される
NTTデータ サイバーセキュリティ技術部情報セキュリティ推進室 NTTDATA-CERT Executive Security Analystの新井悠氏
大型イベントに関しては、「昨年の東京オリンピック/パラリンピックでも見られたように、大型イベントに関連して、必ず偽中継サイトが登場する」と指摘。「2022年は、北京冬季オリンピックの偽中継サイトや、サッカーワールドカップカタール大会の偽中継サイトなどが確認された。『試合を無料で視聴できる』とうたいながら、個人情報の入力を促し、情報が窃取されてしまう」という。
新井氏は、「偽中継サイトは、2023年以降も続くことになるだろう。2023年5月に日本で開催されるG7広島サミット、2025年に開催される大阪・関西万博などでも同様の偽サイトが登場するのではないか。また、一般家庭を狙ったサイバー攻撃も起こるだろう」と予測した。
警察庁・金融庁が北朝鮮を名指ししてサイバー攻撃の手口を公表
警察庁と金融庁は10月に、パブリックアトリビューションとして、北朝鮮の「ラザルス」と呼ばれるグループの動向を明らかにした。新井氏はこのことに触れ、「2021年4月に、警視庁がJAXAなどへのサイバー攻撃は、中国軍が関与したTickというグループによる可能性が高いと発表したのに続き、国内では2件目の公表となった。ラザルスは、諜報活動ではなく、暗号資産関連事業者を対象にした外貨獲得を主目的としているのが特徴である」と分析した。
また、「日本政府が、9年ぶりに治安・テロ対策の総合指針を改定し、『デジタル社会に対応した世界最高水準の安全なサイバー空間の確保』を1番目に掲げた。政府として、サイバーセキュリティの安全確保を最優先していることは、2022年の大きなトピックスである」と位置づけた。
ウクライナ侵攻に伴って起きた3パターンのサイバー攻撃
今回の説明会では、ウクライナ侵攻に伴って増加したサイバー攻撃に焦点を当て、「戦闘活動と連動型のサイバー攻撃」「戦闘活動とは非連動のハクティビスト(政治的主張によるサイバー攻撃者)によるサイバー攻撃」「両者が連携した事例」の3点から説明した。
「サイバー攻撃からの復旧人員を狙ったミサイル攻撃」が推察される場面も
「戦闘活動と連動型のサイバー攻撃」では、政府機関の支援などにより、独自に開発したウイルスを活用し、ゼロディ攻撃を仕掛けてくるAPT(Advanced Persistent Threat:高度で持続的な脅威)の活動が増加していることを指摘。ロシア政府では、ロシア連邦軍参謀本部情報総局(GRU)、ロシア連邦保安庁(FSB)、ロシア対外情報庁(SVR)の3つの機関にそれぞれにAPTが存在していることを示した。
ロシア政府機関に存在するAPT
GRU傘下のAPT28は、2016年アメリカ大統領選挙に際して、ヒラリー・クリントン候補の選挙対策本部長を務めたジョン・ポデスタ氏の私的なGmailアカウントを乗っ取り、その内情をWikileaksにアップロードして暴露した活動に関与したといわれている。同じくGRU傘下のSandwormは、2015年12月に、ウクライナの電力会社3社のシステムに侵入し、約23万世帯が最大6時間にわたって停電した事案に関与したとされる。
今回のウクライナ侵攻に伴ったサイバー攻撃でも、これらのサイバー攻撃組織の名前はよく挙がっているという。また、FSB傘下のGamaredonはウクライナの治安・防衛・法執行機関などを標的にしたサイバー攻撃を行い、SVR傘下のAPT29は、米国政府機関が使用する更新ファイルをウイルスに置き換え、感染させたSUNBURSTという事案で知られる。
これらのAPTがウクライナに仕掛けたサイバー攻撃の状況を、マイクロソフトがまとめたところによると、サイバー攻撃と軍事進攻とが連動していることが分かるという。具体的には、2月28日にはキーウの映像会社にサイバー攻撃が行われ、その翌日に、キーウのテレビ塔にミサイル攻撃が行われたほか、ドニプロやザポリージャ、ヴィーンヌィツャといった都市に対しては、サイバー攻撃と軍事攻撃が同日か1日以内の時間差で行われているという。
ウクライナの主要都市に対するサイバー攻撃と軍事攻撃の発生日
「サイバー攻撃がうまくいかなかった場合にミサイル攻撃を行ったり、施設とITシステムが別の場所にある際には、それぞれに攻撃を仕掛けて両面から破壊を行ったり、サイバー攻撃で破壊したシステムを復旧させるために派遣したIT人員が到着したところを狙ってミサイル攻撃を行うといったことが推察される。ハイブリッド戦が展開されている」と、新井氏は分析した。
また、ウクライナ侵攻で悪用されたウイルスは、全てがワイパータイプという特徴もあるという。ワイパータイプは、システムを破壊する目的で主要なファイルを削除し、機能不全を発生させるものであり、「平時であれば、Windowsの標準機能や復旧用バックアップにより、比較的容易に元に戻せる場合が多いが、有事ではIT知識を持った人材が不足し、復旧に時間がかかり、影響が長期化することになる」と指摘した。
ウクライナ侵攻で悪用されたウイルスは、全てがワイパータイプだった
ワイパータイプのウイルスとして、キプロスに実在するHermetica Digital Ltd.という企業のデジタル署名を使用し、正規のプログラムになりすまし、ウイルス対策ソフトの検出を回避。ハードディスクドライブの起動を司る領域を破壊する例をあげた。また、2016年にウクライナに停電を発生させたウイルスであるIndustroyerのバージョン2が新たに使われ、4月にはウクライナの高電圧変電所を標的としたサイバー攻撃により、電力供給への影響が発生したという。
Industroyerのバージョン2によるサイバー攻撃
ハクティビストが日本を含む各国の政府機関や民間企業にDDoS攻撃
2つめの「戦闘活動とは非連動のハクティビストによるサイバー攻撃」では、政治的な意思表示や政治目的の実現のためにハッキングを手段として用いるハクティビストが、親ロシア派および親ウクライナ派として、それぞれにグループを形成して活動していることを指摘した。
2022年2月に活動を開始した親ロシア派のハクティビストグループであるKillnetは、NATO加盟国の政府機関や民間企業に対してDDoS攻撃を開始。2022年9月には日本政府の4省庁のサイトや、国内民間企業が運営するサイトにDDoS攻撃を行い、通信不全を発生させた。
APTがハクティビストに接触し連携を依頼したケースも
3つめの「両者が連携した事例」では、ひとつめのAPTと、2つめのハクティビストが連携した形でサイバー攻撃が行われるというものだ。ウクライナ侵攻当初の2月から活動しているハクティビストグループのXaknet Teamは、ウクライナの主要機関にDDoS攻撃を実行。ウクライナ外務省から内部文書を流出させたという。
その後、ウクライナ侵攻の関係者から、Xaknet Teamに接触があり、ウクライナ軍が使用しているKropyvaと呼ばれる指揮統制システムの解析を依頼され、アプリの通信先を特定してDDoSを実施したという。それがウクライナ東部のクラスニー・リマン地区の解放に貢献したとしてロシア軍から表彰。だが、Xaknet Teamでは、ロシア軍兵士の命を守るためにやったものとの立場を示しているという。
Xaknet Teamの活動
NTTデータの新井氏は、こうした動きを捉えながら、「ウクライナ侵攻で見られたワイパーによるサイバー攻撃は、事前に偵察行為を行い、それらの情報をもとに攻撃を行っている。対策を行うためには、サイバー攻撃者の視点でセキュリティの有効性を確認しておく必要がある。また、平時から、ハクティビストの活動にも目を配っておくことも、日本の政府や企業へのサイバー攻撃を防ぐことにつながる」と述べた。
